一灌完接上網路立刻中毒
C:\WINDOWS\system32\serivces.exe
請問一下這是啥病毒
一灌完接上網路立刻中毒
C:\WINDOWS\system32\serivces.exe
一灌完接上網路立刻中毒
C:\WINDOWS\system32\serivces.exe
個人積分:392分
文章編號:26397598
個人積分:1351分
文章編號:26398341
個人積分:251分
文章編號:26398451
1 services.exe - services - 進程介紹
進程文件: services or services.exe
進程名稱: Windows Service Controller
進程類別:其他進程
英文描述:
services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin
中文參考:
services.exe是微軟Windows操作系統的一部分。用於管理啟動和停止服務。該進程也會處理在計算機啟動和關機時運行的服務。這個程序對你係統的正常運行是非常重要的。注意:services也可能是W32.Randex.R(儲存在%systemroot%\system32\目錄)和Sober.P (儲存在%systemroot%\Connection Wizard\Status\目錄)木馬。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據。該進程的安全等級是建議立即刪除。
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System
系統進程:Yes
後台程序:Yes
網絡相關:No
常見錯誤:N/A
內存使用:N/A
安全等級 (0-5): 0
間諜軟件:No
廣告軟件:No
病毒:No
木馬:No
這個後門還不錯,也有點BT吧,共產生14個文件+3個快捷圖標+2個文件夾。註冊表部分,除了1個Run和System.ini,比較有特點是,非普通地利用了EXE文件關聯,先修改了.exe的默認值,改.exe從默認的exefile更改為winfiles,然後再創建winfiles鍵值,使EXE文件關聯與木馬掛鉤。即為中毒後,任意一個EXE文件的屬性,“應用程序”變成“EXE文件”
當然,清除的方法也很簡單,不過需要注意步驟:
1.SYSTEM.INI (NT系統在註冊表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
shell = Explorer.exe 1 修改為shell = Explorer.exe
2.將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
Torjan Program----------C:\WINNT\services.exe刪除
3. HKEY_Classes_root\.exe
默認值 winfiles 改為exefile
4.刪除以下兩個鍵值:
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles
5. 打開註冊表編輯器,依此分別查找“rundll32.com”、“finder.com”、“command.pif”,把找到的內容裡面的“rundll32.com”、“finder.com”、“command .pif”分別改為“Rundll32.exe”
6. 查找“iexplore.com”的信息,把找到的內容裡面的“iexplore.com”改為“iexplore.exe”
7. 查找“explorer.com”的信息,把找到的內容裡面的“explorer.com”改為“explorer.exe”
8. 查找“iexplore.pif”,應該能找到類似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把這內容改為“C:\Program Files\Internet Explorer\iexplore.exe”
9. 刪除病毒添加的文件關聯信息和啟動項:
[HKEY_CLASSES_ROOT\winfiles]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
改為
"Shell"="Explorer.exe"
10. 這些是病毒釋放的一個VB庫文件(MSWINSCK.OCX)的相關信息,不一定要刪除:
HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
注:因為病毒修改了很多關聯信息,所以在那些病毒文件沒有被刪除之前,請不要做任何多餘的操作,以免激活病毒
二、然後重啟系統,刪除以下文件部分,注意打開各分區時,先打開“我的電腦”後請使用右鍵單擊分區,選“打開”進入。或者直接執行附件的Kv.bat來刪除以下文件
c:\antorun.inf (如果你有多個分區,請檢查其他分區是否有這個文件,有也一併刪除)
%programfiles%\common files\iexplore.pif
%programfiles%\Internat explorer\iexplore.com
%windir%\1.com
%windir%\exeroute.exe
%windir%\explorer.com
%windir%\finder.com
%windir%\mswinsck.ocx
%windir%\services.exe
%windir%\system32\command.pif
%windir%\system32\dxdiag.com
%windir%\system32\finder.com
%windir%\system32\msconfig.com
%windir%\system32\regedit.com
%windir%\system32\rundll32.com
刪除以下文件夾:
%windir%\debug
%windir%\system32\NtmsData
個人積分:436分
文章編號:26399722
個人積分:5分
文章編號:26417140
